Kaspersky: Mobiler Trojaner Spveng könnte sich bald in Deutschland ausbreiten

Kaspersky (Bild: Kaspersky)

Schon jetzt zielen 9 Prozent der Smartphone-Attacken neben indischen Nutzern auch auf Anwender aus Deutschland und der Schweiz. 91 Prozent der Angriffe fokussieren sich dagegen auf englischsprachige User aus Großbritannien und der USA. Bislang hatte es die Finanz-Malware mit Ransomware-Fähigkeiten ausschließlich auf das Geld russischer Online-Banker abgesehen.

Kaspersky Lab hat entdeckt, dass sich der mobile Trojaner “Spveng” nicht länger nur in Russland ausbreitet, sondern mittlerweile auch Smartphones in Großbritannien und den USA sowie in der Schweiz und teilweise sogar auch schon in Deutschland attackiert. Dem Sicherheitsunternehmen zufolge richten sich 91 Prozent der Angriffe auf englischsprachige Nutzer, während sich 9 Prozent der Attacken neben Indien auch auf Deutschland und die Schweiz fokussieren. Spveng versieht die von ihm attackierten Smartphones dabei mit einer Bildschirmsperre und versucht die Freigabe des Geräts mittels einer “Lösegeldzahlung” zu erpressen.

Logo Kaspersky

Die Vorgehensweise von Spveng, der die Eigenschaften einer Finanz-Malware mit den Fähigkeiten einer Ransomware kombiniert, ist dabei immer dieselbe: Das Schadprogramm, das von Kaspersky Internet Security for Android als “Trojan-Banker.AndroidOS.Spveng.a” erkannt wird, überprüft zunächst das Mobiltelefon des Nutzers auf bestimmte Finanz-Apps, indem es mobile Banking-Anwendungen wie etwa “Bank of America Mobile Banking”, “Citi Mobile” oder “USAA Mobile” abfragt. Im Anschluss daran sperrt Spveng des Geräts mit einer kopierten Strafbenachrichtigung des FBI und fordert für die Display-Freigabe 200 US-Dollar in Form von “Green Dot’s MoneyPak”-Karten.

Eine Modifikation des mobilen Trojaners hatte es bislang stets auf russische Smartphone-Nutzer abgesehen und deren Log-in-Daten sowie Passwörter für das Online-Banking abgegriffen, um Geld zu stehlen. Und obwohl Spveng bisher noch nicht die Anmeldedaten der deutsch- und englischsprachigen Anwender ausgelesen hat, so könnte dessen Ausspähverhalten hinsichtlich der auf dem Smartphone installierten Finanz-Applikationen laut Kaspersky ein Hinweis auf diese Funktion in einer späteren Trojaner-Variante sein.

Zudem hat Kaspersky Lab im Quellcode des Schadprogramms Kommentare zur sogenannten Cryptor-Methode entdeckt, deren Verwendung wiederum ein Hinweis darauf sein könnte, dass die Malware in einer ihrer kommenden Modifikationen versuchen wird, die auf dem Smartphone gespeicherten Nutzerdaten zu verschlüsseln. Sollte dieser Fall eintreten, wäre Spveng nach Pletor laut Kaspersky die zweitbekannteste mobile Schadsoftware, die über eine solche Fähigkeit verfügt.

Schon im November 2013 hatte das russische Sicherheitsunternehmen analysiert, dass Spveng Mobilgeräte hinsichtlich ihrer Spracheinstellungen überprüft – insbesondere in Bezug auf die Verwendung der Sprachen Russisch, Englisch und Deutsch.

„Bereits in den ersten Varianten von Svpeng wird auf dem infizierten Gerät die eingestellte Sprache auf Deutsch, Russisch und Englisch überprüft. Nachdem sich der Trojaner vom russischen in den englischen Sprachraum weiterentwickelt hat, erwarten wir in naher Zukunft auch eine Ausbreitung auf den deutschen Sprachraum“, erklärt Christian Funk, Senior Virus Analyst bei Kaspersky Lab.

Ransomware gilt unter Cyberkriminellen derzeit als die Methode der Wahl um Schaden anzurichten. Erst kürzlich hatte Sicherheitsspezialist Eset vor einer Erpresser-Software für Android gewarnt, die vor allem ukrainische Telefone befallen hat.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de